Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.
Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 15
CVE-2021-28480, CVE-2021-28481 et CVE-2021-28483 : Multiple vulnérabilités dans Microsoft Exchange Server
Dans le cadre de son Patch Tuesday, Microsoft a publié un correctif pour ces 4 vulnérabilités affectant les serveurs Exchange dont 3 ayant un score CVSSv3 supérieur à 9. Elles permettent à un attaquant de réaliser une exécution de code arbitraire à distance. Le CERT-FR rappelle que les serveurs Microsoft Exchange ne devraient pas être exposés sans protection sur Internet. Il est fortement recommandé d’appliquer les bonnes pratiques publiées par l’ANSSI pour le nomadisme [3].Liens :
- /avis/CERTFR-2021-AVI-262/
- https://www.ssi.gouv.fr/guide/recommandations-sur-le-nomadisme-numerique/
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-28480
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-28483
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-28481
CVE-2021-20020 et CVE-2021-20021 : Multiple vulnérabilités dans les produits Sonic Wall
Le 10 avril 2021, l'éditeur a publié des avis concernant deux vulnérabilités critiques avec un score CVSSv3 supérieur à 9. La première vulnérabilité, CVE-2021-20020 affecte le produit SonicWall GMS et permet à un attaquant à distance non authentifié d'élever ses privilèges jusqu'au niveau root. La seconde, CVE-2021-20021, affecte les produits SonicWall On-premise Email Security (ES) et Hosted Email Security (HES). Elle permet à un attaquant de créer un compte administrateur en envoyant une requête HTTP particulière à l'hôte du service SonicWall Email Security.Liens :
- /avis/CERTFR-2021-AVI-249/
- https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2021-0007
- https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2021-0009
CVE-2021-27602 : Vulnérabilité dans SAP Commerce
Cette vulnérabilité critique, avec un score CVSSv3 de 9.9, affecte l'interface d'administration (backoffice) de SAP Commerce. Elle permet à un attaquant authentifié d’exécuter du code arbitraire et ainsi compromettre l'intégrité, la confidentialité et la disponibilité de l'application.Liens :
CVE-2021-25668 et CVE-2021-25669 : [SCADA] Multiple vulnérabilités dans Siemens SCALANCE
L'éditeur a publié un avis de sécurité concernant deux vulnérabilités avec un score CVSSv3 de 9.8, affectant le serveur Web des produits SCALANCE lors du traitement d'une requête HTTP POST. Ces vulnérabilités, basées sur un dépassement de tampon (buffer-overflow), permettent à un attaquant d'exécuter du code arbitraire à distance et de réaliser un déni de service.Liens :
CVE-2015-7705, CVE-2015-7871, CVE-2019-18342, CVE-2019-18337, CVE-2021-27389, CVE-2021-27392, CVE-2019-18339 et CVE-2015-8214 : [SCADA] Multiple vulnérabilités dans les produits Siemens
Siemens a publié ou mis à jour 8 avis de sécurité concernant des vulnérabilités avec un score CVSSv3 supérieur à 9. Les produits suivants sont concernés : TIM, Control Center Server (CSS), Opcenter Quality QMS Automotive, Siveillance Video Open Network Bridge, SiNVR/SiVMS Video Server et SIMATIC. Veuillez-vous référer aux avis de l'éditeur ci-dessous.Liens :
- /avis/CERTFR-2021-AVI-255/
- [SIMANTIC et TIM] - https://cert-portal.siemens.com/productcert/pdf/ssa-763427.pdf
- [TIM] - https://cert-portal.siemens.com/productcert/pdf/ssa-497656.pdf
- [SiNVR/SiVMS Video Server] - https://cert-portal.siemens.com/productcert/pdf/ssa-761617.pdf
- [Siveillance Video Open Network Bridge] - https://cert-portal.siemens.com/productcert/pdf/ssa-853866.pdf
- [Opcenter Quality et QMS Automotive] - https://cert-portal.siemens.com/productcert/pdf/ssa-788287.pdf
- [Control Center Server (CCS)] - https://cert-portal.siemens.com/productcert/pdf/ssa-761844.pdf
CVE-2020-27221 : Vulnérabilité dans les produits IBM
L'éditeur continue à déployer des correctifs concernant la vulnérabilité référencée CVE-2020-27221 (score CVSSv3 de 9.8). Elle est basée sur un dépassement de tampon (buffer-overflow) dans Eclipse OpenJ9 lorsque la machine virtuelle ou JNI (Java Native Interface) convertit des caractères UTF-8 vers l’encodage local. Cette vulnérabilité permet à un attaquant d’exécuter du code arbitraire à distance et aussi de provoquer un déni de service à distance en envoyant une trop longue chaîne de caractères. Les produits suivants disposent maintenant d'un correctif : Tivoli Composite Application Manager for Transactions, IBM Transformation Extender, WebSphere Transformation Extender et IBM Transformation Extender. En ce qui concerne les autres produits, veuillez-vous référer à l'ancien bulletin d’actualité du 29 mars 2021.Liens :
- /avis/CERTFR-2021-AVI-254/
- /actualite/CERTFR-2021-ACT-012/
- https://www.ibm.com/support/pages/node/6440909
- https://www.ibm.com/support/pages/node/6443283
CVE-2021-28310 : Vulnérabilité dans Win32k
Microsoft met en avant la connaissance de code d'exploitation publique ainsi que la détection de l'exploitation de cette vulnérabilité affectant le service Win32k de Windows. Elle permet à un attaquant de réaliser un élévation de privilège.Liens :
- /avis/CERTFR-2021-AVI-261/
- https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-28310
La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.
